随着网络流量的增加和网络安全问题的日益严重,网络流量的监控分析变得至关重要。DNS协议由于其特殊性以及设计之初并没有考虑安全的问题,导致与DNS协议相关的攻击越发频繁,攻击人员通过将数据封装在DNS报文中以逃避检测。随着一些开源的DNS隧道工具的出现,越来越多的人能够轻易地获取这些工具,并利用其进行非法活动,如绕过防火墙访问互联网、访问被禁的非法网站、注入恶意指令,甚至对个人、企业、政府的重要数据进行窃取,同时DNS隧道技术是目前僵尸网络常用的通信隧道技术。因此,研究DNS隧道识别技术,有助于更好地防范网络攻击和维护网络空间安全。本文在调研前人的研究工作,发现现有的大部分DNS隧道研究主要建立在理想情况下,即DNS隧道中只存在一层协议数据时,检测数据中是否存在DNS隧道,缺乏对DNS隧道内部多层协议的有效识别。事实上为了规避审查,DNS隧道中可能通过使用多个协议使得单个协议的识别方法失效。同时,通过对DNS隧道内协议数据的准确分类,有助于进一步研究DNS隧道内部性质。因此,对于DNS隧道中的多协议混合情况,需要进一步开发新的识别方法来弥补这一缺陷。本文提出了基于深度学习的DNS隧道混合流量识别方法,对常见的FTPDNS、HTTP-DNS、TELNET-DNS、SMTP-DNS四种多层级DNS隧道进行识别。在研究的开始,将一组对应的DNS请求和DNS应答定义为DNS会话,并构建了两种识别方法:1)基于卷积神经网络CNN的识别方法,通过将DNS会话数据转成图像进行分类。2)基于BERT特征表示的识别方法,通过在大规模无标签DNS数据上进行预训练,学习DNS负载数据中的潜在上下文相关特征。并在后续分类任务中动态生成词向量,从而对隧道进行识别。之后提出了模型集成方案,以提升识别结果的可靠性。在随后的工程研究中,为了模拟真实网络环境下的DNS隧道识别能力,本文在仿真环境中构建了基于大数据的DNS流量监控系统（DTMS）。通过模型构建、数据采集与预处理、数据缓存、数据分析以及可视化界面,实现了基于深度学习的DNS隧道识别。最后本文基于收集到的DNS隧道混合流量数据集,在分别将两个模型训练之后,从灵敏度、准确度、精度、F1分数等指标进行测试,实验结果表明优于现有的基于域名、基于统计特征以及基于包特征的方法,同时模型集成后也有一定性能的提升。而且DTMS系统也能有效地对复杂网络环境中的DNS流量进行监控分析。